リモートワーク、在宅勤務におけるセキュリティ課題を克服する

 2020.08.03  EDR実践ポータル

東京商工リサーチが2020年4月に発表した「(第3回)新型コロナウイルスに関するアンケート」では、“政府が推奨している「在宅勤務」や「リモートワーク」は、大企業の48.0%が実施しているのに対し、中小企業は20.9%に止まり、規模格差が広がった”と報告しています。

この調査は、対象が17,340社と母数は多いのですが、大企業(資本金1億円以上)と中小企業(同1億円未満)に二分しており、中小企業をもう少し細かな尺度で計ってみると、さらに低い数字も出てくるかもしれません。

security-for-telework-0

テレワークの導入状況

出典: 第3回「新型コロナウイルスに関するアンケート」調査(東京商工リサーチ)

テレワーク実施率は資本金と反比例

コロナウイルスが蔓延する以前のデータですが、「平成30年通信利用動向調査」(総務省)でも、規模格差は表れています。資本金規模別の統計では、50億円以上、10億円~50億円未満の企業の導入率は、それぞれ53.3%と46.7%ですが、1,000万円未満では12.1%、1,000万円~3,000万円未満の企業も10.5%に止まっていました。

 

security-for-telework-3資本金別のテレワーク導入状況

出典 :「平成30年通信利用動向調査」(総務省)

“導入しない”“導入できない”三つの理由

テレワークを導入しない理由として、各種アンケートでは“テレワークに適した仕事がない”と“業務の進行が難しい”が上位を占め、総務省の調査でもそれぞれ73.1%と22.8%です。そしてもう一つ、ハードルとなっているのはセキュリティ。“情報漏えいの心配”も、決して軽視はできません(同調査では3位の20.5%)。

システムにかける人員と予算に制約も多い中小企業にとって、セキュリティは大きな課題ですが、安全なテレワーク環境を整備する方法はあります。いまの企業にとって喫緊の課題だからこそ、自社にとって最適なソリューションを見極め、最短ルートで構築することが求められているのです。

 

テレワークに必要な“基礎体力”に欠ける?

在宅勤務やリモートワークを実践する上で、何がハードルになっているのでしょうか? 中小企業のみなさまのお話を総合すると、ネックはシステムの不備とノウハウの不足、そしてコストにあるようです。

例えば、VPN(仮想的な専用回線)を契約して、クローズドのネットワークを構築し、VPNへの接続時やノートPCの起動時は、IDとパスワードに生体認証を加える多要素認証を取り入れれば、情報漏えいのリスクは減らすことができます。

VPNと本人認証の強化は、テレワークの“基礎体力”とも言える部分ですが、システムを運用する部門にも、ユーザーである従業員にも、ある程度の負荷はかかります。運用や保守に必要な人員と予算の面でも、すべての企業が即決実行というわけにはいかないでしょう。

端末を社内LANから切り離すことで、機密情報を搾取するマルウェアへの感染や、流出した情報を悪用した標的型攻撃のリスクが増すといった不安もあると思います。もう一つ、従業員のITリテラシーにバラツキがある点も、全社的なテレワークの実践に際してのネックになっているようです。

脅威ハンティングの最前線 2019年版
ENDPOINT DETECTION AND RESPONSE

ゼロベースで発想しよう

在宅勤務やリモートワークの実践には、VPNや認証方式など、必要なツールやデバイスを一つずつ揃えていくやり方がありますが、それがすべてではありません。システム環境を一気に刷新、管理センターからすべての端末を見張る方法に変えてしまうという道もあるのです。

言わば“トップダウンのアプローチ”ですが、この発想のベースになっているのは、“攻撃の100%回避は困難”と“ゼロトラスト”というセキュリティ分野の二つのトレンドです。

まず前者ですが、先鋭化したサイバー攻撃は、企業の防御体制を調べ上げ、ほんのわずかな隙を突いてきますから、完全にはね返すことは難しくなってきているという現実。この状況を直視し、被害を最小限に食い止めるための技術を重視していくことです。

そしてゼロトラストは、文字通り“すべてを信用しない”こと。言うまでもなく、従業員の人間性を信用するな、という意味ではありません。一般的には、“社内のサーバーやPCなど、すべの機器を信頼しないネットワークモデル”と定義されます。社内で稼動しているPCでも“侵入は不可避”を前提とし、ファイルサーバーへのアクセス時など、すべての動作に対して真贋判定や検疫を実施するという考え方です。

 

現時点での最適解は“可視化”

人員の不足やコストなどの中小企業のテレワーク実施に対する課題、そしてセキュリティ技術のトレンドを加味すると、現状での最適なアプローチは、“エンドポイントの可視化”に行き着きます。

100%回避は困難 + ゼロトラスト

“従業員が使うエンドポイント機器の状態と動作を可視化”

 

※エンドポイント=サーバーやPC、モバイル端末など、社内ネットワークを構成する各種情報機器

 

すでにVPNを敷設している企業でも、テレワーク中の端末を追いきれないという悩みはあるでしょう。社外からVPNを使うには、強固な認証手続が必要で、通信環境によっては接続できないケースもあります。時間がないときはVPNを回避し、駅などに設置されている無料のWi-Fi経由で、外部のサーバーを使ってしまうという、危険な行為もなかなか根絶できません。

 

もちろん、イリーガルな使い方の危険性を周知し、ルール遵守を徹底していくことは大切です。その一方で、働くスペースとシステムを提供する企業、情報システム部門としては、従業員に大きな負担をかけず、快適にテレワークを実践できる環境を整備していくアプローチも必要ではないでしょうか。

可視化を実現する“クラウドネイティブ”

社内で稼動するPCなどの情報機器、そして従業員が社外で使っている端末の状況も可視化できれば、“すべてのスタッフが過剰にセキュリティの心配をせず、快適なテレワークを実践できる環境”の構築につながります。

VPNとファイアウォール、ウイルス対策ソフトなど、社内LANの内側を守ることを前提とした従来のセキュリティシステムだけでは、すべてのエンドポイントを可視化する運用はできません。実践のキーワードは“クラウドネイティブ”です。

クラウドネイティブのアーキテクチャーにより、すべてのコンピュータ、モバイル端末の活動ログを、稼動している場所に関わらず、リアルタイムでクラウドにアップ。管理センターで状況をモニターし、脅威の兆候をすぐに検知する体制が構築できるのです。

迅速な行動が成否を分ける

いまの社会情勢を考えると、テレワークを実践する要件の一つはスピードです。従業員の健康を維持するため、社会的要請に応えるため、安心して在宅勤務とリモートワークができる環境を1日でも早く整えることです。

新しい情報システムの導入や追加時は、安定稼動を損なってはならないため、テストを含めた慎重な運用は必要です。しかし、計画立案からシステム設計、既存システムとの整合チェック、WindowsとMac OSなどプラットフォームごとの動作検証など、既存のプロセスでは時間がかかりすぎることは否めません。

クラウド型のシステムは、脅威を検知するエンジンなどはすべてクラウド上です。端末側は、エージェント(代理人などの意味)と呼ぶクラウドの一部を代行するソフトを搭載するだけで、センターからの稼動状況の監視、脅威の検知などがすぐにできるようになります。もちろん、ユーザーの操作に大きな負荷が加わることはありません。

security-for-telework-4

クラウドベースアーキテクチャーの利点

 

エキスパートに委託する意義

セキュリティシステムを新規導入する企業にとって、心配のタネはシステムの不備や操作ミスなどによる情報の流出でしょう。特に基幹システムをクラウドに置くサービスには、不安を感ずるかもしれませんが、いまはクラウドの信頼性は各所で実証されており、もっとも堅牢さが要求される銀行の勘定系がクラウドに移行する例も珍しくありません。

企業の生命線とも言える機密データのマネジメントを、外部に委ねることにも不安はあるでしょう。ITが産業社会のすそ野まで広がり、テクノロジーも細分化された現在は、1企業がコントロールできる領域は限られています。言い換えると、セキュリティなどの専門領域は、エキスパートに委ねる体制が整備されており、このフレームに当てはまるのは大企業も例外ではありません。

企業が必要とする機能とサービスを臨機応変に判断し、テレワークのようなそのときどきのニーズに応じたマネジメントを行なうセキュリティ企業の問題解決力は、いまのビジネス社会には欠かせないのです。

生産性を維持するための投資を

安全なテレワーク環境の運用には、当然コストが発生します。スタッフの健康を守り、かつビジネスの生産性を維持するには、ある程度の出資を伴うことは避けられません。

いまの日本では、大手企業でも都市部の本社部門を臨時休業にするところが出てきました。出社制限をせざるを得ず、在宅勤務もリモートワークもできないとなると、1人あたりの生産性は、時間の経過と共にどんどん下がってしまうのです。目の前にあるコスト、安全なテレワーク環境の整備にかかる費用は、企業の生産性と競争力を維持するための投資にほかなりません。

もう一つ、いまの企業に必要な視点は、車を運転しているときのように、すぐ目の前と数十メートル先を交互に見る柔軟さです。新型コロナウイルスとの戦いは長期戦を余儀なくされそうですが、働く環境を整備していくに際しても、足元だけを見た施策、いますぐ必要なデバイスやサービスを追加するだけでは、行き詰まってしまうでしょう。

目前の凝視に加えて、より長いスパンでの展望、拡張性の視点も持つことが必要です。クラウドネイティブのシステムには、クラウド側の調整だけで機能を柔軟に追加していけるという強みがあります。そのときどきの状況、ニーズに応じて、テレワークとその周辺サービスに必要な機能を強化していくことができるのです。

このような要素を総合的に考慮し、いまこの時期に最適なソリューション、クラウドネイティブのエンドポイント保護の検討をお勧めします。

CROWDSTRIKE FALCON:エンドポイント保護の新たなスタンダード

RECENT POST「EDR」の最新記事


リモートワーク、在宅勤務におけるセキュリティ課題を克服する
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング